کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی روش جدیدی در بدافزار GootLoader خبر دادهاند که با استفاده از آرشیوهای ZIP معیوب، موفق به دور زدن ابزارهای شناسایی و تحلیل خودکار میشود.
به گزارش کمیته رکن چهارم، لودر بدافزاری GootLoader که مبتنی بر JavaScript (یا JScript) است، در کارزارهای اخیر از فایلهای ZIP دستکاریشدهای استفاده میکند که از اتصال ۵۰۰ تا ۱۰۰۰ آرشیو ZIP به یکدیگر ساخته شدهاند. این روش باعث میشود بسیاری از ابزارهای متداول استخراج فایل مانند WinRAR و ۷-Zip قادر به پردازش محتوا نباشند، در حالی که ابزار پیشفرض ویندوز میتواند این فایلها را باز کند.
به گفته پژوهشگر امنیتی شرکت Expel، این تکنیک نوعی روش ضدتحلیل است که جریانهای خودکار بررسی بدافزار را مختل میکند، اما همچنان قربانیان انسانی را قادر میسازد فایل را باز کرده و بدافزار را اجرا کنند. در نتیجه، مهاجمان میتوانند هم از دید ابزارهای امنیتی پنهان بمانند و هم زنجیره آلودگی را حفظ کنند.
GootLoader معمولاً از طریق مسمومسازی نتایج موتورهای جستوجو و تبلیغات مخرب توزیع میشود و کاربران را به وبسایتهای آلوده وردپرسی هدایت میکند. این کاربران اغلب در جستوجوی قالبهای حقوقی هستند و با دانلود فایل ZIP مخرب، ناخواسته بدافزار را اجرا میکنند. این لودر برای تحویل بارهای ثانویه از جمله باجافزار طراحی شده و حداقل از سال ۲۰۲۰ در حملات واقعی مشاهده شده است.
بررسیهای جدید نشان میدهد مهاجمان علاوه بر ساخت ZIP معیوب، با حذف بخشهایی از ساختار انتهایی آرشیو و تصادفیسازی برخی مقادیر، عملاً هر فایل را منحصربهفرد میکنند؛ روشی که به گفته کارشناسان «هشگریزی» محسوب میشود و شناسایی مبتنی بر هش را بیاثر میکند.
پس از باز شدن فایل ZIP توسط قربانی، فایل جاوااسکریپت داخل آن از طریق ابزار بومی ویندوز مانند wscript.exe اجرا میشود و با ایجاد ماندگاری در سیستم، مراحل بعدی آلودگی از جمله اجرای دستورات PowerShell را آغاز میکند.
کارشناسان امنیتی توصیه میکنند سازمانها در صورت عدم نیاز، اجرای wscript.exe و cscript.exe برای فایلهای دانلودشده را مسدود کرده و با اعمال سیاستهای سیستمی، باز شدن فایلهای JavaScript را به حالت نمایش متنی محدود کنند. این اقدامات میتواند نقش مهمی در کاهش ریسک آلودگی به GootLoader و بدافزارهای مشابه داشته باشد.
